Advokaten 1
REPORTAGE » händer om vi gallrar viss information
, förklarar hon. När de nya reglerna börjar gälla ska allt vara klart, från informationstexter till gallringsrutiner, påpekar Eva Palm. Karin Faxén Ågrup tillägger att det just därför är mycket viktigt att byråns ledning och de olika verksamhetsgrupperna är med i processen. – Alla måste förstå att det här inte bara är gruppens ansvar utan hela byråns, säger hon. Även om det stora arbetet görs på central och systemnivå kommer GDPR också att innebära vissa förändringar för de enskilda advokaterna och juristerna i vardagen, enligt Karin Faxén Ågrup. – Alla måste troligen bli mer myndigheten. Här har Advokatsamfundets VÄGLEDNINGEN ÄR ETT LEVANDE DOKUMENT SOM KOMMER ATT BEHÖVA UPPDATERAS UTIFRÅN PRAXIS OCH REKOMMENDATIONER. noggranna med att arkivera till exempel epost i de elektroniska akterna, i stället för att låta dem ligga i sina egna inkorgar. Det ger bättre struktur och gör det därmed lättare att rensa om tio eller tjugo år, säger hon. FRÅGETECKEN ÅTERSTÅR Eleonore Häger, HR manager på internationella advokatbyrån Linklaters Stockholmskontor, bedömer, när intervjun genomförs i april, att hennes byrå är på god väg att få allt på plats för att uppfylla dataskyddsförordningens krav. − Vi har ett riskteam i London som har arbetat med den globala implementeringen av GDPR under en lång period. Nu fokuserar vi på de lokala delarna, säger hon. Bortsett från att det är en mycket omfattande reglering återstår också en hel del frågetecken i hur förordningen ska tolkas, påpekar Eleonore Häger. Det är också här de stora svårigheterna i att få regleringEleonore Häger. en på plats finns. – Förordningen begränsar hanteringen av personuppgifter, samtidigt som vi måste få verksamheten att fungera. Det är svårt att veta exakt hur implementationen ska genomföras på bästa sätt då det saknas praxis, säger Eleonore Häger. Eleonore Häger ser stora fördelar i att vara en del av en internationell byrå. Det globala riskteamet fungerar som en samlingspunkt och kan kartlägga implementeringen i hela EU. Byrån kan därmed ta hjälp av andra länder och hur de arbetar med att tillämpa förordningen. Men mycket måste även anpassas till den nationella lagstiftningen och tillsyns26 vägledning varit till god hjälp. – I övrigt är det väldigt generella vägledningar, vilket gör det svårt. Praxis kommer att hjälpa till i det fortsatta arbetet med GDPR. Vi får följa den utvecklingen väldigt väl för att få tydligare riktlinjer på hur vi ska göra, säger Eleonore Häger. INNEBÄR BYRÅKRATI Advokat Henrik Bengtsson ingår i den arbetsgrupp som tagit fram samfundets vägledning. Han konstaterar att det har varit ett svårt och omfattande arbete att få fram vägledningen, med få riktlinjer att följa. I brist på antagen lag har arbetsgruppen utgått från betänkandet med förslag till dataskyddslag, samt de riktlinjer som den så kallade Artikel 29gruppen inom EU lämnat. Henrik Bengtsson anser att förordningen, om man skulle tolka den bokstavligt, ställer upp regler som i delar kan göra det svårt att arbeta som advokat. Det blir därför viktigt att följa utvecklingen också framöver för att se hur de olika reglerna kommer att tillämpas, när förordningen möter verkligheten. – Vägledningen är ett levande dokument som kommer att behöva uppdateras utifrån praxis och rekommendationer, säger Henrik Bengtsson. Henrik Bengtsson. Vilka blir då de största förändringarna för advokaterna när GDPR träder i kraft? Henrik Bengtsson trycker särskilt på två nyheter jämfört med personuppgiftslagen, PUL. Den första är vad som kallas principen om ansvarsskyldighet. Principen innebär att företag och organisationer inte bara måste följa förordningen, utan också ska kunna visa att och hur det görs. – Det innebär en hel del byråkrati, med förteckningar över register, policies och mer omfattande informationstexter om de registrerades rättigheter, säger Bengtsson. En annan stor skillnad är den nya anmälningsskyldigheten för personuppgiftsinciADVOKATSAMFUNDETS VÄGLEDNING Advokatsamfundets vägledning för tillämpningen av EU:s dataskyddsförordning i advokatverksamhet är antagen av samfundets styrelse. Vägledningen består av två delar: Del I är en sammanfattning av grundläggande åtgärder som advokatbyråer behöver vidta för en ansvarsfull databehandling i sin verksamhet och avslutas med exempel på dokumentation som bör upprättas. Del II innehåller fördjupad information. Vägledningen innehåller också ett antal malldokument, bland annat för upprättandet av en integritetspolicy och information till registrerade, som kan användas av advokatbyråer. Vägledningen finns att läsa och ladda ner på Advokatsamfundets webbplats. ADVOKATEN NR 4 • 2018 denter. Dessa ska enligt GDPR anmälas till den nationella dataskyddsmyndigheten, i Sverige Datainspektionen, inom 72 timmar. – 72 timmar är en kort tid, när någon exempelvis tappar bort en mobil, eller öppnar ett phishingmejl, påpekar Henrik Bengtsson, som tror att regeln kan komma att innebära att större verksamheter måste lämna sådana rapporter minst en gång i månaden. Datainspektionen, å sin sida, kan förmodligen räkna med att bli överöst med rapporter innan det blivit ordentligt klargjort vad som egentligen behöver rapporteras. Myndigheten har själv räknat med att ta emot omkring 50 rapporter om dagen. Henrik Bengtsson tror att det blir ännu fler. – Ett problem i sammanhanget är att det inte gäller absolut sekretess för incidentrapporterna, säger Henrik Bengtsson. Det innebär att alla incidentrapporter blir